रकून बनाम OpenSWAN: Windows, iOS और Android के लिए IPSEC पर सिस्को और L2TP के साथ HOST-TO-SITE IPSEC VPN सुरंग को कॉन्फ़िगर करें

अच्छे कर्मों, प्रिय खबरावियों!

इस लेख में, मैं आपको विश्वसनीय और सुरक्षित IPSec कनेक्शन खोजने में मेरे कारनामों के बारे में एक कहानी के साथ लुभाना चाहूंगा, जहां कई अद्भुत खोजों और निराशाएं, पहेलियां और उत्तर, वफादार सेवा की कहानियां और विश्वासघाती विश्वासघात हैं। तो, मेरे प्रिय पाठक, तैयार हो जाइए, कहानी शुरू कीजिए।

पाठक को, जिसे तत्काल मदद की ज़रूरत है, और मेरी दुर्भाग्य के बारे में कहानियाँ नहीं हैं जिनके कारण इस विषय का लेखन हुआ, मैं शीर्षक को स्क्रॉल करने की सलाह देता हूं "वास्तव में विषय"

लगभग छह महीने पहले, मुझे IPSec के माध्यम से भुगतान प्रणाली के कनेक्शन के साथ भुगतान टर्मिनलों के लिए एक सर्वर जुटाने की आवश्यकता थी। मेरी पसंद सामान्य लोगों के रकून में डेबियन निचोड़ और केम ipsec- उपकरण पर गिर गई। ओह, और मुझे नहीं पता कि मेरी आत्मा इस एप्लिकेशन से क्यों जुड़ी। सबसे पहले, IPSec सिद्धांत का सतही अध्ययन करते हुए, मैंने अभ्यास किया:

apt-get install racoon 

रैकोन सफलतापूर्वक संकुल के एक समूह के साथ डाउनलोड, स्थापित, खींच रहा है और खुशी से मुझे सूचित किया कि वह यहाँ था।

दूसरी तरफ, उनके प्रिय CISCO उनकी प्रतीक्षा कर रहे थे, जो हालांकि, लगातार दर्जनों सुरक्षित कनेक्शनों का समर्थन करते थे, लेकिन हमारे हीरो ने उनके लिए दस्तक दे रहे थे, प्रीशेड की को कॉल किया और उन्हें अपने विश्वसनीय IPSec चैनल की बाहों में गले लगा लिया।

लेकिन इससे पहले, एक कठिन परीक्षा उत्तीर्ण करना आवश्यक था, क्योंकि सिस्को के सख्त लेकिन निष्पक्ष पिता - दूसरी तरफ सिस्टम प्रशासक, सफलतापूर्वक परीक्षण पास किए बिना अपने वार्ड तक पहुंच नहीं देता था। मार्ग की शर्तें इस प्रकार थीं:

 IKE 3DES HASH SHA-1 Diffie Hellman Grupo 2 Life Time 86400 seconds Authentication by Preshared Key IPSec 3DES Integrity : ESP/SHA1 Mode: Tunel Perfect Forward Secrecy (Active) Lifetime 3600 seconds xxxx - IP   ,     yyyy - IP Cisco zzzz - IP    Cisco 

प्रेमियों की मदद करने के लिए, अधिक या कम काम करने वाले कॉन्फ़िगरेशन को बनाने में कुछ दिनों का समय लगा। और अंत में, प्यार जीत गया। समस्याओं में से एक मौजूदा साइट-से-साइट से कॉन्फ़िगरेशन को फिर से परिभाषित कर रहा था, मुझे अपने मस्तिष्क को थोड़ा तनाव देना था और याद रखना चाहिए कि एक मेजबान एक ही नेटवर्क है, केवल 255.255.255.255, यानी 32 के सबनेट मास्क के साथ।

लेकिन खुशी लंबे समय तक नहीं थी। IPSec पर L2TP के माध्यम से क्लाइंट मेजबानों को जोड़ने का एक कार्य था, और यहाँ Rakun सामना नहीं कर सका। सबसे पहले, एक ipsec- उपकरण पुनर्निर्माण ऑपरेशन की आवश्यकता थी, ताकि यह प्रेडेड की के लिए वाइल्डकार्ड (*) का समर्थन कर सके, क्योंकि क्लाइंट मशीनों के आईपी पते अज्ञात हैं। यह अपमान कुछ इस तरह दिखाई दिया:

 diff -ur a/ipsec-tools-0.7.1/src/racoon/localconf.cb/ipsec-tools-0.7.1/src/racoon/localconf.c --- a/ipsec-tools-0.7.1/src/racoon/localconf.c 2006-09-09 11:22:09.000000000 -0500 +++ b/ipsec-tools-0.7.1/src/racoon/localconf.c 2010-08-06 16:35:18.000000000 -0500 <at> <at> -211,7 +211,8 <at> <at> if (*p == '\0') continue; /* no 2nd parameter */ p--; - if (strncmp(buf, str, len) == 0 && buf[len] == '\0') { + if (strncmp(buf, "*", 2) == 0 || + (strncmp(buf, str, len) == 0 && buf[len] == '\0')) { p++; keylen = 0; 

असेंबली के दौरान निर्भरता के प्रतिबंधात्मक समाधान को मानस के श्रमसाध्य धूम्रपान के एक और सप्ताह की आवश्यकता थी, क्योंकि यह अधिक नहीं हो सकता था ।/configure। अंत में, मैं एक बेनवी लेख पर आया, जो स्पष्ट रूप से प्रसारित किया गया था: और आप इन जोकरों के लिए अपनी सुरक्षा पर भरोसा करते हैं (और आप इन मसख़रों पर अपनी सुरक्षा का भरोसा करते हैं) । इन शब्दों को अधिक महत्व दिए बिना, क्योंकि लेख ने मेरी समस्या को हल कर दिया, मैंने रोड वारियर कॉन्फ़िगरेशन में अब सफलतापूर्वक असेंबल किया, जुड़ा हुआ है और रेकोन काम किया है।

L2TP सेटिंग्स

L2TP के साथ कोई समस्या नहीं थी:

स्थापित xl2tp और ppp

 apt-get install xl2tp ppp 

बहुत सारे के अनुसार कॉन्फ़िगर:

 # /etc/xl2tpd/xl2tpd.conf [global] ipsec saref = yes force userspace = yes [lns default] local ip = 10.1.2.1 ip range = 10.1.2.10-10.1.2.254 #     refuse pap = yes require authentication = yes ppp debug = yes length bit = yes pppoptfile = /etc/ppp/options # /etc/ppp/options: ms-dns 10.1.2.1 ms-dns 8.8.8.8 require-mschap-v2 asyncmap 0 auth crtscts lock hide-password modem debug name l2tpd defaultroute proxyarp lcp-echo-interval 10 lcp-echo-failure 100 #/etc/ppp/chap-secrets: # Secrets for authentication using CHAP # client server secret IP addresses username * userpass * #      .     IP addresses   ,      .      alvelig   10.1.2.7 alvelig * alvelig 10.1.2.7 

लेकिन मुझे ipsec-tools के साथ टिंकर करना पड़ा। मैं काम करने वाला विन्यास रकुना दूंगा:

 # /etc/racoon/racoon.conf: path include "/etc/racoon"; path pre_shared_key "/etc/racoon/psk.txt"; #   PreShared Keys  (.  ) path certificate "/etc/racoon/certs"; #  IKE  Road Warrior remote anonymous { exchange_mode aggressive,main; passive on; proposal_check obey; support_proxy on; nat_traversal on; ike_frag on; dpd_delay 20; proposal { encryption_algorithm aes; hash_algorithm sha1; authentication_method pre_shared_key; dh_group modp1024; } proposal { encryption_algorithm 3des; hash_algorithm sha1; authentication_method pre_shared_key; dh_group modp1024; } } # IPSEC  Road Warrior  CISCO sainfo anonymous { pfs_group 2; lifetime time 3600 sec; encryption_algorithm 3des; authentication_algorithm hmac_sha1; compression_algorithm deflate ; } # IKE  CISCO remote yyyy { exchange_mode main, aggressive; my_identifier address; lifetime time 86400 sec; nat_traversal on; dpd_delay 20; proposal { encryption_algorithm 3des; hash_algorithm sha1; authentication_method pre_shared_key; dh_group 2; } } 

 # /etc/racoon/psk.txt: # PSK  Cisco 200.68.5.131 CiscoPSK # PSK    NAT * RoadWarrior 

 # /etc/ipsec-tools.conf #!/usr/sbin/setkey -f # # Flush SAD and SPD flush; spdflush; # Create policies for racoon spdadd xxxx/32 zzzz/32 any -P out ipsec esp/tunnel/xxxx-yyyy/require; spdadd zzzz/32 xxxx/32 any -P in ipsec esp/tunnel/yyyy-xxxx/require; ########################## ## XL2TP ## ########################## spdadd 0.0.0.0/0[0] 0.0.0.0/0[1701] udp -P in ipsec esp/transport//require; spdadd 0.0.0.0/0[1701] 0.0.0.0/0[0] udp -P out ipsec esp/transport//require; 

लेकिन एक सप्ताह के सफल ऑपरेशन के बाद, सुरंग अचानक निष्क्रिय हो गई थी, और एकमात्र उपकरण जो मदद कर रहा था, फिर से शुरू करना या रिबूट करना।

यह परियोजना एक पायलट था, जो अन्य चीजों का एक बादल था, और सामान्य तौर पर, बैसाखी और पैच पर कुछ महीनों तक फैला था।

अंत में, मेरे हाथ पूरी तरह से मुद्दे को समझने के बिंदु पर पहुंच गए, और बग-फिक्स और अन्य मायावी चीजों की उम्मीद में, मैंने ipsec-tools 0.8.1 का एक नया संस्करण एक साथ रखा। और शुरुआत के ठीक बाद, आरकून ने मुझे एक गंभीर बीमारी की सूचना दी - विभाजन दोष।

मैं इस तरह का झटका सहन नहीं कर सकता था। रात नींद नहीं आई: मैंने सोचा कि कैसे ...

सुबह उठकर चाय पी, एक सैंडविच खाया और कंप्यूटर पर बैठ गया। अचानक मेरे दिमाग में एक विचार कौंधा: OpenSWAN! अरे हाँ, चलो कोशिश करते हैं!

वास्तव में एक विषय

 apt-get install openswan 

एप्टीट्यूड ने कसम खाई थी कि ओपनसैन रैसलून के दोस्त नहीं हैं, और हमें एक पूर्व दोस्त को अलविदा कहना होगा। खैर, यह नहीं हुआ, मैंने OpenSWAN की स्थापना के बारे में सोचा और पुष्टि की।

बहुत अधिक दौड़ने के सेटअप के बाद, OpenSWAN को स्थापित करना आसान से आसान था (या हो सकता है कि मैं पहले से ही प्राप्त कर लिया गया हो):

 # /etc/ipsec.conf config setup #      nat_traversal=yes #    NAT conn cisco #    forceencaps=yes dpddelay=30 # Dead peer detection - 30  -   keep-alive  dpdtimeout=120 # dpd  120 ,       dpdaction=restart_by_peer #      # IKE alg 3DES - HASH sha1 - DH group 2 (1024) ike=3des-sha1-modp1024 # IKE lifetime 86400 seconds (24 hours) ikelifetime=86400s # IKE auth method Pre-Shared Key (PSK secret) authby=secret # IPSEC params #        OpenSWAN # phase2=esp # by default # phase2=3des-sha1 # by default the same as IKE # IPSec type tunnel type=tunnel #  -  # IPSEC (key) lifetime salifetime=3600s # Perfect Forward Secrecy PFS group the same as IKE (1024) pfs=yes #  Perfect Forward Secrecy #left side (myside) left=xxxx # OpenSWAN side #      ,       IPSec,  netmask xxxx/32 leftsubnet=xxxx/32 #net subnet on left side to assign to right side leftnexthop=yyyy # CISCO side #right security gateway (CISCO side) right=yyyy #CISCO side rightsubnet=zzzz/32 #net on right side rightnexthop=xxxx # OpenSWAN side auto=start # Road Warrior conn L2TP authby=secret pfs=no auto=add keyingtries=3 rekey=no ikelifetime=8h keylife=1h type=transport left=xxxx leftprotoport=17/%any #    1701,  iOS  .   %any ,  :   iPad       ! right=%any rightprotoport=17/%any compress=no dpddelay=30 dpdtimeout=120 dpdaction=clear # dpdaction=clear   , .. ipsec   #     ,  ,   " peer", #      ,      

L2TP सेटिंग्स को भी बदलना नहीं था: सब कुछ तुरंत काम किया। L2TP सेटिंग्स ।

 ipsec setup start ping zzzz 64 bytes from zzzz: icmp_req=1 ttl=254 time=7.53 ms 64 bytes from zzzz: icmp_req=2 ttl=254 time=6.59 ms 64 bytes from zzzz: icmp_req=3 ttl=254 time=6.41 ms 64 bytes from zzzz: icmp_req=4 ttl=254 time=6.77 ms 

और इसने मुझे एक हफ्ते और आधे घंटे तक दौड़ने में लगभग आधा घंटा लगा दिया।

निष्कर्ष

दुर्भाग्य से, जैसा कि अक्सर होता है, मचला सनकी अक्सर झगड़ा करता था और रकून के साथ संबंध तोड़ देता था, लेकिन ओपनस्वन (मुझे आश्चर्य है कि यह आवेदन क्या लिंग है, शायद महिला, फिर यह बहुत कुछ समझाता है) तीसरे सप्ताह के लिए अब, स्थिर और बिना संघर्ष और घोटालों के।

उपसंहार

यदि ग्राहकों के साथ वीपीएन कनेक्शन जुड़े हुए हैं, लेकिन नेटवर्क के भीतर होस्ट एक-दूसरे के लिए दुर्गम हैं, तो आप गायब हैं:

 echo 1 > /proc/sys/net/ipv4/ip_forward 

या अपने iptables देखें

यहां आप iOS और विंडोज क्लाइंट के लिए सेटिंग्स प्राप्त कर सकते हैं।

मैं टिप्पणियों के लिए आभारी रहूंगा कि क्यों दौड़ून सेगफॉल्ट में गिरा और एक सप्ताह के स्थिर संचालन के बाद कनेक्शन खो गया।

निमंत्रण के लिए यूएफओ का विशेष धन्यवाद।

अपडेट:

2 महीने के बाद, यह अभी भी गिर गया, संक्रमण ...
Openswan मंचों पर पाया गया कि dpdaction = पुनरारंभ_by_peer अत्यधिक अनुशंसित है। विन्यास में सही किया गया।

अपडेट 2:

जैसा कि व्यवस्थापक ने मुझे टिस्का पक्ष में भर्ती कराया था, गिरावट उनके पक्ष में संचार समस्याओं के कारण हुई थी।
लेकिन इससे मुझे कोई आसानी नहीं हुई, क्योंकि सुरंग को ऊपर जाना था।
मैंने दूसरे में पाया कि कैसे संदंश = हाँ ऐसे मामलों में मदद कर सकता है। विन्यास में जोड़ा गया।

अपडेट 3:

द्वारा जोड़ा गया:
# / etc / ppp / विकल्प:
defaultroute

टिप्पणियाँ देखें